GitHub Code Scanning (CodeQL)

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

• Node.js ＋ npm 系はアラートが良く出る。
• FrontendTemplates?を参考に説明。

詳細 †

• 買収したSemmleのソフトウェアを基にした脆弱性解析エンジン「CodeQL」使用
• デフォルトではソースコードの解析は明示的に指定されたときのみ実行される。
• 開発パイプラインの適切なタイミングでGitHub Actionsなどによって解析
• 対象言語は、C、C++、C#、Java、JavaScript、TypeScript?、Python、Go。
• Free/Pro/Teamのいずれの利用者も、パブリックリポジトリに対して無料で利用可能。

セキュリティ・アラート †

以下から確認できる。
https://github.com/OpenTouryoProject/FrontendTemplates/security/code-scanning

セキュリティ・パッチ †

該当なし。

参考 †

• GitHub、コードの脆弱性などを発見してくれる
  「GitHub Code Scanning」正式版が提供開始。
  パブリックリポジトリには無料
  https://www.publickey1.jp/blog/20/githubgithub_code_scanning.html

• GitHub、コードの脆弱性を自動検出する
  「Code Scanning」正式公開 - ITmedia NEWS
  https://www.itmedia.co.jp/news/articles/2010/06/news105.html

• GitHub、コードの脆弱性を検出する
  「Code Scanning」を全ユーザーに提供 - ZDNet Japan
  https://japan.zdnet.com/article/35160321/

• コード解析エンジンCodeQL、
  オープンソースの脆弱性克服を後押し - CIOニュース：CIO Magazine
  https://project.nikkeibp.co.jp/idg/atcl/19/00002/00052/

• Githubの新しいセキュリティ機能 CodeQLを使ってみる - Security Index
  https://security-index.hatenablog.com/entry/2020/06/05/211454

• CodeQLを使ってみる. CodeQLについてのメモ | by hnts | Medium
  https://medium.com/@hanatsuu/codeql%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E3%81%BF%E3%82%8B-9648f32ab5c1

• LGTM でリポジトリ・ソースコードを分析しよう | Developers.IO
  https://dev.classmethod.jp/articles/lgtm-analyze-code/

• 脆弱性を発見するコードスキャン機能がGitHubに統合、
  セキュリティの問題が次々見つかる：「CodeQL」エンジンがベース - ＠IT
  https://www.atmarkit.co.jp/ait/articles/2010/13/news108.html

github †

• CodeQL - GitHub Security Lab
  https://securitylab.github.com/tools/codeql

• Code Scanning を正式リリース - GitHubブログ
  https://github.blog/jp/2020-10-06-code-scanning-is-now-available/

Qiita †

• CodeQLをローカルPCで実行する。
  ついでにクロスサイトスクリプティングの脆弱性を発見する。
  https://qiita.com/takutoy/items/ba088ca5a3896f433039

• GitHub Code Scanningを試してみた | 脆弱性の自動検出
  https://qiita.com/Kobayashi2019/items/3ee85f61ad46178b80c7